那些遇到过的问题

为什么对于XSS预防,ValidateRequest ="true"不够?

Pet*_*jan 6 .net c# asp.net xss

"如何:防止ASP.NET中的跨站点脚本"中的步骤1的说明中指出,您应该"不依赖于ASP.NET请求验证.除了您自己的要求之外,还将其视为额外的预防措施.输入验证."

为什么不够呢?

Phi*_*ove 2

一方面,黑客总是想出新的攻击和插入 XSS 的新方法。ASP.NET 的 RequestValidation 仅在 ASP.NET 新版本发布时才会更新,因此,如果有人在 ASP.NET 发布后的第二天提出新的攻击,RequestValidation 将无法捕获它。

(我相信)这就是AntiXSS项目出现的原因之一,因此它可以有更快的发布周期。

归档时间:

查看次数:

2106 次

最近记录:

16 年,2 月 前
相关归档
如何使用.NET创建具有特定扩展名的临时文件? 265
SmtpException:无法从传输连接中读取数据:net_io_connectionclosed 96
WPF MVVM为什么使用ContentControl + DataTemplate Views而不是直接的XAML窗口视图? 75
无法将DotINTEXT签名与DotNetOpenAuth ServiceProvider一起使用 69
如何检查uri字符串是否有效 62
ASP.NET MVC 2.0 JsonRequestBehavior全局设置 39
如何在我的网站上托管我的WCF服务? 20
错误 CS1061:“DbSet<T>”不包含“FromSql”的定义,并且没有接受“DbSet<T>”类型的第一个参数的扩展方法“FromSql” 12
是否有人在Mono上运行生产ASP.NET站点? 10
使用oracle DB和.NET时的最佳实践 10
难疑归档
如何从Bash脚本检查程序是否存在? 2032
轻松获取最新的git子模块 1748
使当前的Git分支成为主分支 1555
在Vim中复制整行 1555
Python字符串格式:%vs. .format 1323
在Node.js中读取环境变量 1240
我是否提交了由npm 5创建的package-lock.json文件? 1164
如何通过对象中的属性对List <T>进行排序 1146
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076
如何将本地jar文件添加到Maven项目? 1053